标签: Windows

Windows 10 又现新漏洞

这些年来Windows 10出现了很多的诡异Bug。例如,就在前几天,我们报道过一个可能会破坏硬盘驱动器的错误。现在,一个导致Windows崩溃的bug的细节已经出现,但微软似乎并不急于修复它。 这个错误是由之前发现NTFS缺陷的同一位安全研究员Jonas Lykkegaard发现的。他发现通过访问Chrome浏览器中的某个路径,Windows 10会以BSoD(蓝屏死机)的方式崩溃。尽管Lykkegaard早在几个月前就公开了该漏洞的细节,但微软仍未拿出修复方案。 BSoD漏洞非常容易执行,目前还不知道该漏洞的全部后果。Lykkegaard发现,使用Chrome访问路径\.\globalroot\device\condrv\kernelconnect会导致Windows 10中的BSoD崩溃。 BleepingComputer进行的测试显示,从Windows 10版本1709一直到20H2的每一个版本的Windows 10中都可以发现这个bug,很大可能也影响旧版本。 虽然像这样简单的崩溃可能看起来相当无害,但它是一些可以被攻击者利用以掩盖其他活动,或阻止受害者使用他们的计算机。这个错误甚至可以通过简单地给受害者发送一个指向问题路径的快捷方式文件来触发。 在给BleepingComputer的一份声明中,微软表示。”微软有客户承诺调查报告的安全问题,我们将尽快为受影响的设备提供更新”。尽管有这样的承诺,但没有迹象表明相当何时可能提供修复。           (消息及封面来源:cnBeta)

谷歌 Project Zero 披露了 Windows 中的严重安全漏洞

谷歌 “零号项目 “专门用来发现该公司自己软件以及其他公司软件中的漏洞,并私下向供应商报告,在公开披露前给它们90天时间进行修复。根据所需修复的复杂程度,它有时还会以宽限期的形式提供额外的天数。在过去几年中,在厂商无法及时修补后,谷歌 “零号项目 “安全团队已经披露了多个安全漏洞。 访问漏洞细节: https://bugs.chromium.org/p/project-zero/issues/detail?id=2096 这包括高通Adreno GPU驱动、微软Windows、苹果macOS等当中存在的漏洞。现在,它公开披露了Windows中的一个安全漏洞,如果被人利用,会导致权限提升。 谷歌 “零号项目 “安全人员表示,恶意进程可以向splwow64.exe Windows进程发送本地过程调用(LPC)消息,攻击者可以通过它向splwow64内存空间中的任意地址写入任意值。这本质上意味着攻击者控制了这个目标地址和任何被复制到该地址的内容。 这个漏洞并不完全是新的。事实上,卡巴斯基的一位安全研究人员在今年早些时候就报告了这一问题,微软早在6月份就打了补丁。不过,这个补丁现在已经被Google Project Zero的Maddie Stone认定为不完整,他表示,微软的修复只会改变指向偏移量的指针,这意味着攻击者仍然可以使用偏移量值来攻击它。 9月24日,Google Project Zero私下向微软报告了零日的情况,标准的90天期限将于12月24日到期。微软最初计划在11月发布修复程序,但该发布时间段随后滑落到12月。之后,它告诉谷歌,它在测试中发现了新的问题,现在它将在2021年1月发布一个补丁。 12月8日,双方开会讨论了进展和下一步的计划,其中确定不能向微软提供14天的宽限期,因为该公司计划在2021年1月12日的补丁周二发布补丁,比宽限期多出6天。Project Zero团队计划在明年再次重新审视政策,但已经公开披露了该漏洞与概念验证代码。技术报告还不清楚这影响到哪些版本的Windows,但卡巴斯基几个月前的报告显示,攻击者一直在利用它来攻击新版本的Windows10。       (消息来源:cnBeta;封面来源于网络)

0patch 发布免费补丁:修复 Windows 7 中的本地提权漏洞

Windows 7 尽管已经停止支持,但全球依然有数百万人在使用它。本月初,一位安全研究人员在 Windows 7 和 Windows Server 2008 R2 上发现了本地提权漏洞。虽然尚不清楚微软是否会为付费扩展支持用户提供补丁修复,但肯定的是当前仍在使用 Windows 7 的普通用户依然非常容易受到攻击。 不过为了修复这个漏洞,第三方补丁服务团队 0patch 发布了适用于 Windows 7 和 Windows Server 2008 R2 的免费补丁,能够保护数百万台仍运行这些系统的设备免受该漏洞的影响。 值得注意的是,本次 0patch 发布的微型补丁并不仅仅提供给那些付费用户,任何有需求的用户都可以免费下载。发现安全漏洞的安全研究员 ClémentLabro 分享了此发现的详细信息,0patch 巧妙地总结了这一发现: Clément 为 Windows 编写了一个非常有用的权限检查工具,该工具可以发现 Windows 中的各种错误配置,这些错误配置可能允许本地攻击者提升其特权。在典型的 Windows 7 和 Server 2008 R2 计算机上,该工具发现所有本地用户都对两个注册表项具有写权限: HKLM \ SYSTEM \ CurrentControlSet \ Services \ Dnscache HKLM \ SYSTEM \ CurrentControlSet \ Services \ RpcEptMapper 这些似乎无法立即被利用,但是克莱门特做了很多工作,发现可以使Windows性能监视机制从这些键中读取-并最终加载本地攻击者提供的DLL。 简单来说就是,计算机上的本地非管理员用户只需在上述键之一中创建一个Performance子键,并用一些值填充它,然后触发性能监控,这将导致本地系统WmiPrvSE.exe进程加载攻击者的DLL并执行代码。         (消息来源:cnBeta;封面来自网络)

微软发布 Windows 10 累积更新,修复 Kerberos 认证系统漏洞

在几天前发布适用于 Version 1809 的修复之后,今天微软再次发布了适用于 Windows 10 Version 2009/2004/1909/1903/1607 的安全更新,重点修复了 Kerberos 认证系统中存在的高危漏洞(编号 CVE-2020-17049)。 在更新日志中写道 修复了 CVE-2020-17049 漏洞,修复了 PerformTicketSignature 注册表子项值相关的 Kerberos 身份验证问题,该漏洞修复已经包含在11月10日发布的累积更新中。 当 PerformTicketSignature 设置为1(默认值)时,对于非Windows Kerberos客户端,Kerberos服务票证和票证授予票证(TGT)可能不会续订。 当PerformTicketSignature设置为0时,所有客户端的用户服务(S4U)方案(例如计划任务,群集和业务线应用程序服务)可能会失败。 如果不一致地更新中间域中的DC并将PerformTicketSignature设置为1,则在跨域方案中的票证引用期间S4UProxy委派失败。 下载地址 KB4594440  20H2 / 2004 Update Catalog KB4594443 1909 / 1903 Update Catalog KB4594441 1607  Update Catalog         (消息及封面来源:cnBeta)

微软修补了之前谷歌发现并披露的 Windows 零日漏洞

上个月,谷歌Project Zero的安全研究人员公布了Windows中一个正在被积极利用的零日漏洞的细节。黑客利用Windows内核加密驱动安全漏洞(CVE-2020-117087)在Windows 7、8、10以及Windows Server 2008和更高版本中获得高权限。作为昨晚发布的 “补丁星期二”的一部分,微软目前已经发布了该漏洞的修复程序。 被称为 “Windows Kernel Local Elevation of Privilege Vulnerability “的CVE-2020-17087早在10月22日就被微软曝光。通常情况下,Project Zero会在公开漏洞细节之前提供90天的宽限期,但由于该漏洞处于已经被利用的状态,因此将这一宽限期缩减至仅7天。 Project Zero团队解释道:Windows内核加密驱动(cng.sys)向用户模式程序暴露了一个\Device\CNG设备,并支持各种非常规输入结构的IOCTL。它构成了一个本地可访问的攻击面,可以利用它进行权限升级(甚至可被用于沙箱逃逸)。 在MSRC门户网站上,微软感谢Google Project Zero的Mateusz Jurczyk和Sergei Glazunov所做的工作,使开发团队迅速注意到了这个漏洞。 不同版本的Windows和Windows Server的修补程序链接可以在以下页面中找到: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-17087       (消息来源:cnBeta;封面来自网络)

微软承认 Windows 10 网络和开始菜单磁贴存在问题 承诺尽快修复

微软已经承认了存在于 Windows 10 系统中的两个新错误,并承诺会尽快修复。正如本站近期报道的那样,Windows 10 系统中存在一个令人讨厌的错误,当某些用户启用 Microsoft Store 应用或启用 VPN 连接时候会出现网络连接错误的情况。 Windows 10 May 2020(20H1/Version 2004)功能更新及更高版本都存在这个问题。在某些情况下,Windows 10 的这个 BUG 会破坏互联网连接,并阻止了 Spotify,Office,Microsoft Store 等重要应用程序上线。 一些报告表明该问题可能与VPN或代理使用有关,而其他报告则指出 Windows 10 更新破坏了“网络连接状态指示器(NCSI)”。目前仍不清楚网络断开错误的根源是什么,但是微软表示将解决类似的问题,该问题将阻止重要的应用程序联网。微软计划在本月的补丁星期二活动日中发布补丁进行修复。 此外微软还承认了可能会导致开始菜单中动态磁贴无法正常工作的问题。发生这种情况时,您会注意到磁贴显示为灰色,并带有“正在进行应用更新”进度条。目前尚不清楚微软何时计划解决该特定错误,但该技术巨头已经在9月发布的预览版本中对其进行了修补。 值得注意的是,微软还注意到Windows 10中的其他问题,其中一个问题是睡眠模式无法按预期工作,并且“重置此PC”功能无法刷新系统映像。     (消息来源:cnBeta;封面来自网络)

谷歌披露 Windows 零日漏洞 已有证据表明被黑客利用

谷歌的 Project Zero 团队近日披露了存在于 Windows 系统中的零日漏洞,会影响从 Windows 7 至 Windows 10 Version 1903 系统版本。在博文中,谷歌表示已经有证据表明有攻击者利用该漏洞发起了攻击,可提升权限以执行远程代码。 有趣的是,这个标记为 CVE-2020-17087 的漏洞和上周披露的另一个 Chrome 零日漏洞(CVE-2020-15999)配合使用,能够从沙盒中逃逸。外媒 ZDNet 的 Catalin Cimpanu 解释说,恶意行为者可以通过这两个漏洞逃避浏览器的安全环境,在受感染的目标设备上执行任意代码。 披露的博文中,微软将会在今年 11 月的补丁星期二活动日(10日)中修复该漏洞。不过由于 Windows 7 系统的主流支持已经停止,因此仅面向那些订阅了扩展安全更新(ESU)的用户。自从该漏洞被积极利用以来,这家搜索巨头的团队为微软提供了 7 天的时间来修补该漏洞,然后才在今天公开予以披露。 在最新的 Chrome 86.0.4240.1111 版本更新中,谷歌已经修复了漏洞。至于Windows错误,该漏洞位于Windows内核密码驱动程序(cng.sys)中,谷歌 Project Zero 团队对其进行了详细说明。该公司还附加了概念验证代码,以显示该漏洞如何使系统崩溃。 此外,Google 威胁分析小组的负责人谢恩·亨特利(Shane Huntly)已确认该漏洞和即将到来的美国总统大选没有任何关系。       (消息来源:cnBeta;封面来自网络)

Windows GravityRAT 恶意软件现在开始攻击 Android 和 macOS

GravityRAT是一种以检查Windows计算机的CPU温度以检测虚拟机或沙箱而闻名的恶意软件,现在已经成为多平台的间谍软件,因为它现在也可以用来感染Android和macOS设备。GravityRAT远程访问木马(RAT)至少从2015年开始就被看似巴基斯坦的黑客组织积极开发,并被部署在针对印度军事组织的定向攻击中。 虽然恶意软件的作者之前专注于针对Windows机器,但卡巴斯基研究人员去年发现的一个样本显示,他们现在正在增加对macOS和Android的攻击。他们现在还使用数字签名来签署他们的代码,使他们的诱杀应用看起来合法。 更新后的RAT样本是在分析一款Android间谍软件应用(即Travel Mate Pro)时检测到的,该应用会窃取联系人、电子邮件和文件,这些文件会被发送到在线命令和控制服务器,这个服务器也被另外两个针对Windows和macOS平台的恶意应用(Enigma和Titanium)也在使用。 这些恶意应用程序在受感染设备上投放的间谍软件恶意软件运行着多平台代码,它允许攻击者向,它们可以获取系统信息,搜索计算机和可移动磁盘上扩展名为.doc、.docx、.ppt、.pptx、.xls、.xlsx、.pdf、.odt、.odp和.ods的文件,并将它们上传到服务器,获取运行中的进程列表,窃听,截屏,任意执行shell命令,录音和扫描端口。 “总的来说,发现了超过10个版本的GravityRAT,被伪装成合法的应用程序进行分发,这些模块一起使用,使该集团能够进入Windows操作系统,MacOS和Android。卡巴斯基还发现了用.NET、Python和Electron开发的应用程序,这些应用程序通常是合法应用程序的克隆,它们会从C&C服务器上下载GravityRAT有效载荷,并在被感染的设备上添加一个预定任务以获得持久性。     (消息来源:cnbeta,封面来自网络)

今年最严重 Windows 漏洞之一:有黑客利用 Zerologon 植入服务器后门

安全研究人员本周五发布警告称,2020 年最严重的 Windows 漏洞之一目前正被黑客广泛利用,从而对网络中那些存储用户凭证和管理员账号的服务器植入后门。该漏洞名为“Zerologon”,能让攻击者访问活动目录,以管理员身份创建、删除和管理网络账号。 在黑客攻击中会掌控 Active directories 和域控制器,允许攻击者使用执行代码对所有连接到该网络的计算机发起攻击。微软在今年 8 月补丁星期二活动日发布的累积更新中,已经修复了这个编号为 CVE-2020-1472 的漏洞。 上周五,以独立研究员身份工作的凯文·博蒙特(Kevin Beaumont)在一篇博客文章中表示,已经有证据表明黑客利用该漏洞发起了攻击。他表示已经有黑客针对他的蜜罐(honeypot)进行了攻击,这个尚未修复的诱饵服务器中受到了攻击,攻击者便能够使用Powershell脚本成功更改管理员密码并对该服务器进行后门操作。 博蒙特表示这些攻击完全是脚本化的,所有命令在几秒钟内即可完成。这样,攻击者安装了后门,从而可以远程管理其模拟网络中的设备。攻击者(使用用户名sdb和密码jinglebell110 @设置了帐户)也启用了远程桌面。结果,如果后续修补CVE-2020-1472,攻击者将继续具有远程访问权限。     (消息来源:cnbeta,封面来自网络)

恶意软件 Emotet 活动升级:伪装成 Windows Update 邮件分发

臭名昭著的 Emotet 恶意软件活动再次升级。在本次活动中,该恶意软件通过声称是来自“Windows Update”的电子邮件进行分发,并告诉用户应该升级微软 Word 。援引外媒 Bleeping Computer 的说法,在这些电子邮件中包含恶意的 Word/Excel 文档,或者下载链接。当用户点击之后,附件会提示用户“启用内容”从而允许宏命令运行,从而安装 Emotet 木马程序。 相信 cnBeta 的大部分读者都能识别这样的恶意电子邮件,但对于那些不太懂技术的用户来说就非常容易受骗了。为了欺骗人们使用宏,Emotet 使用了不同的文档模板,例如声称是在iOS、Windows 10 Mobile 或者旧版本 Office、受保护的文档中创建的。 原本只是金融木马的Emotet功能愈来愈强大,除了可窃取使用者所储存的凭证、金融资讯或其它个人资讯外,它还能夹带诸如挖矿程式或勒索软体等恶意程式,或于企业网路上建立僵尸网路,已被视为最危险的病毒之一。     (稿源:cnbeta;封面来自网络)